العودة   شبكة آرا ويب التطويرية > المنتديات > حماية المواقع و سد ثغرات المنتديات


ثغرة Xss في كل نسخ الجيل 3.6 - الترقيع في الداخل

حماية مواقع ، حماية منتدى ، سد ثغرات ، حماية ، ثغرات ، ترقيع


إضافة رد
 
LinkBack أدوات الموضوع طريقة عرض الموضوع
قديم 20-Dec-2007, 02:40 PM   #1 (permalink)
مدير عام
 
تاريخ التسجيل: May 2007
المشاركات: 614
افتراضي ثغرة Xss في كل نسخ الجيل 3.6 - الترقيع في الداخل

تم اليوم التبليغ عن ثغرة جديدة في vBulletin 3.6.x

الثغرة سيئة لأنها تسرق الكوكيز ليس من المنتدى بل من لوحة التحكم وهذا يعني أنه إذا نجح المخترق في تطبيق الثغرة على منتداك فإنه سيتمكن من الحصول على الكوكيز الخاص بالـ cpsession وبالتالي لا يدخل إلى المنتدى باسمك وحسب بل يدخل إلى لوحة التحكم أيضاً

قمت بمراسلة الشركة ولكنهم تصرفوا بغباء لا أدري لماذا وطلبوا مني أن أروي لهم ماذا فعلت خطوة بخطوة مع أن الموضوع واضح ويحتاج إلى التجربة فقط.

على كل حال الحل هو كالتالي:

في الملف admincp/index.php

استبدل السطر التالي:
كود PHP:
$vbulletin->input->clean_array_gpc('r', array('navprefs' => TYPE_STR));

بما يلي:


كود PHP:
$vbulletin->input->clean_array_gpc('r', array('navprefs' => TYPE_NOHTML));

أيضاً ابحث عن:



كود PHP:
$vbulletin->input->clean_array_gpc('r', array(
'prefs' => TYPE_STR
,
'dowhat' => TYPE_STR
,
'id' =>
TYPE_INT
));



واستبدله بـ:



كود PHP:
$vbulletin->input->clean_array_gpc('r', array(
'prefs' => TYPE_NOHTML
,
'dowhat' => TYPE_STR
,
'id' =>
TYPE_INT
));



والآن أنت بأمان حتى صدور النسخة ا لجديدة

مكتشف الثغرة هو
Author: insanity
E-mail: insanity[at]darkers.com.br
http://www.securityfocus.com/bid/21157

الترقيع من Milad
http://miladkawas.blogspot.com/2006...-vbulletin.html

من قول حرفياً من موضوع الأخ ميلاد بمنتدى سوالف

ونتمنى التأكد من الخبراء ..وكان واجبي الإخبار والنقل للفائدة
__________________
منتديات شبكة آرا ويب لخدمات الانترنت
http://www.arawebserv.com/vb


لطلبات الاشراف والمتابعة
admin@arawebserv.com
araweb غير متواجد حالياً   رد مع اقتباس
Sponsored Links
إضافة رد

أدوات الموضوع
طريقة عرض الموضوع

تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة
Trackbacks are متاحة
Pingbacks are متاحة
Refbacks are متاحة


المواضيع المتشابهه
الموضوع كاتب الموضوع المنتدى مشاركات آخر رد
ثيمات لأحلى موبايلات...لنوكيا الجيل الثالت araweb قسم ألعاب Mobile Games & خلفيات , ثيمات & Mobile Graphics 2 04-May-2009 04:16 AM
عدد الاعضاء 34 الف الترتيب 36 الف الدخل المادي ما يقارب 1500 ريال الروند عروض البيع والشراء 1 07-Jun-2008 05:29 PM
الأن الدردشة كتابية الجيل الخامس EgyNew Chat V 5 egynew.com عروض البيع والشراء 2 21-Mar-2008 11:21 PM
الترقيع الجديد vBulletin 3.6.8 Patch Level 2 Released araweb حماية المواقع و سد ثغرات المنتديات 0 01-Dec-2007 10:33 AM
ثغرة خطيرة في سكربت vbzoom لكل شخص مركب السكربت الترقيع بالداخل -ابري ذمتي امام الله هانى الشامى تطوير المواقع 0 09-Jul-2007 12:34 PM




الساعة الآن 04:08 AM.

أقسام المنتديات

الاقسام العامة * البرامج الكاملة والنادرة Programs * معرض التصاميم وبرامج التصميم * المنتديات * تطوير المنتديات * استايلات النسخة الثالثة * تطوير المواقع * الاقسام الادارية * الشكاوي والملاحظات والطلبات * قسم المشرفين * عروض البيع والشراء * التقنيه و الأمن و الحماية * لغات برمجة المواقع * صيانة و دعم فني منتديات و حل مشاكل المواقع * المواقع و السيرفرات * مكتبة هاكات الجيل الثالث * حماية المواقع و سد ثغرات المنتديات * السيرفرات * ** منتدى الدورات المجانية الخاصة ** * الكمبيوتر و الأنترنت و الجوال * برامج الجوال Mobile Software * قسم ألعاب Mobile Games & خلفيات , ثيمات & Mobile Graphics * قسم الرسائل والمسجات Mobile SMS ورسائل MMS * صيانة الحاسوب Computer Maintenance * ألعاب الكمبيوتر PC Games * وظائف و توظيف (طلب وظيفة - طلب موظفين) * ارشفة المواقع و صداقة محركات البحث سيو SEO * جوجل ادسنس Google Adsense * منتديات الجيل الرابع 4.0.0 * الواجهات والقوالب والتصاميم الجاهزه * السكربتات والاكواد و برامج ادارة المحتوى * استايلات النسخة الرابعه * مكتبة هاكات الجيل الرابع *



Powered by vBulletin Copyright ©2000 - 2010, Jelsoft Enterprises Ltd.
devloped - by m4arabs : Search Engine Friendly URLs by vBSEO 3.3.0

Protected by ArSup.Net

  جميع الحقوق محفوظة لمنتديات شبكة آرا ويب لخدمات الانترنت © 2007